사이버 위협에 대한 최신 트렌드를 알아보고 해당 위협에 대한 탐지를 위해 인텔리전스 기술과 엘리스틱을 활용한 사이버 위협 탐지 및 운영환경에 대한 구축 그리고 활용사례에 대한 경험을 나누어 본다.

1. 1
엘라스틱을 활용한
사이버 위협 인텔리전스
Yong-ho, Seo
February, 22, 2019

2. 2
농업 정보화
플랫폼을 통해
농업 선진화를
실행하는 이지팜

3. 3
농업 회사가
보안을?
야채만큼이나 신선한 발상

4. 4
Where's Wally
월리를 찾아라

5. 5
그리고
원리를 찾아라

6. 6
해충(해킹)일까
익충(방문)일까

7. 7
Insight
Intelligence

8. 88
발명할 수 있는 것은
모두 발명되었다.
- 1899년 미국
특허청장

9. 9
먼산 바라보기

10. 10
Cyber Threat
Intelligence Analytics
Ezfarm Intelligence Solution
• UEBA, SIEM
• Advanced Threat Detection
• AI for cyber security
• SOC, SOAR
• Etc

11. 11
Cyber Threat
Intelligence Analytics
Ezfarm Intelligence Program
• 이지팜 자체 인텔리전스 데이터 연동
• 이지팜 고유 보안 시나리오
• 위협 인텔리전스 보고서
• 사용자 행위기반 연구

12. 1212
깨끗한 생태계
깨끗한 인터넷

13. 13
신종 악성파일
매일 새롭게
만들어지는
악성코드
18년 악성공격
한해 발생된 악성
온라인 공격
랜섬웨어 피해
한해 랜섬웨어
피해규모 추산
35만 20억 1조
Source: KASPERSKY
Cyber Attack Report

14. 14
Cyber Attack Report
해킹을 최초 인지하는 시점
55%
원인확인불가
15%
해킹을 인지하는데
2년 이상 걸림
Source: krcert
해킹을 인지하는데
평균 140~200일 소요

15. 15
Cyber Attack survey 2019
Krcert 2,529명 설문조사
54%
기타 지능적인
공격유형들의 합계
4%
과거에 가장
위협적이었던 DDoS는
상대적으로 약해짐
Source: krcert

16. 16
What is
Advanced
Cyber Threat?
진보된 공격이란?

17. 17
Useful Cyber Attack
Oldies
But
Goodies
New
Old
Fashioned
Trend
• Brute-Force Attack
• Default Password
• DDoS
• APT Attack
• Social Engineering Attack
• Phising Attack
• Ransomware
• Spectre, Meltdown
• IoT Attack
• Cryptojacking

18. 18
TI, Threat Intelligence

19. 19
증거를 기반하는 지식으로, 기업의 IT나 정보자산에 위협이
될 수 있는 부분에 실행 가능한 조언을 콘텍스트나
매커니즘, 지표등으로 제시하는 정보
가트너가 설명하는 Threat Intelligence

20. 20
기업 내부의 과거 보안 사건 정보뿐만 아니라 기업
커뮤니티, 관련 안티바이러스나 취약점 관련정보를 가진
벤더와의 커뮤니티, 국가 보안 커뮤니티의 정보를 보안
위협의 대응에 활용하는 것 (Interactive Intelligence)
IDC가 설명하는 Threat Intelligence

21. 21
졸라 알고리즘
캡틴아메리카

22. 22
OSINT
Open Source
Intelligence

23. 23
Cyber Threat Intelligence Architecture

24. 24
NOTE: USE THIS LAYOUT FOR
PLACING ONE IMAGE THAT
SUPPORTS YOUR STORY

25. 25
WHERE
어디서 가져올까

26. 26
Cyber Threat Analysis & Sharing
C-TAS
• 악성코드
• C&C
• 감염IP
• 공격시도 IP
• 유포지
• 피싱
• 파밍
• 스미싱
• 정보유출지
• 악성 이메일 등 8개 그룹 36종

27. 27
HOW
어떻게 가져올까

28. 28
Cyber Threat Intelligence Format

29. 29
Command and Control IP List
<stix:Observables cybox_major_version="1" cybox_minor_version="1">
<cybox:Observable id="">
<cybox:Object id="">
<cybox:Properties xsi:type="" category="ipv4-addr">
<AddressObject:Address_Value>198.51.100.2</AddressObject:Address_Value>
</cybox:Properties>
</cybox:Object>
</cybox:Observable>
<cybox:Observable id="">
<cybox:Object id="">
<cybox:Properties xsi:type="" category="ipv4-addr">
<AddressObject:Address_Value>198.51.100.17</AddressObject:Address_Value>
</cybox:Properties>
</cybox:Object>
</cybox:Observable>
</stix:Observables>
Cyber Threat Intelligence

30. 30
Malicious file
<stix:Indicator id="" timestamp="…" xsi:type=''>
<indicator:Observable id="">
<cybox:Object id="">
<cybox:Properties xsi:type="">
<FileObj:Hashes>
<cyboxCommon:Hash>
<cyboxCommon:Type condition="Equals" xsi:type="">SHA256</cyboxCommon:Type>
<cyboxCommon:Simple_Hash_Valuecondition="Equals">e3b0c44298fc1...</cyboxCommon:Simple_Hash_Value>
</cyboxCommon:Hash>
</FileObj:Hashes>
</cybox:Properties>
</cybox:Object>
</indicator:Observable>
<indicator:Indicated_TTP>
<stixCommon:TTP id="" timestamp="…" xsi:type=''>
<ttp:Title>Malicious file</ttp:Title>
</stixCommon:TTP>
</indicator:Indicated_TTP>
<indicator:Confidence timestamp="…">
<stixCommon:Value vocab_reference=.. vocab_name="Percentage">75</stixCommon:Value>
</indicator:Confidence>
</stix:Indicator>
Cyber Threat Intelligence

31. 31
다른데서도
받고싶은데

32. 32
Intelligence Alliance
Cyber Threat Intelligence

33. 33
Intelligence tools
• https://github.com/hslatman/aweso
me-threat-intelligence
• 67 Sources
• 9 Formats
• 40 Frameworks and Platforms
• 60 Tools
• 26 Research, Standars & Books
Threat Intelligence

34. 34
이 정보들을 다
믿어도 될까

35. 35
Trust
but verify!
신뢰하라
그러나 검증하라

36. 36
A single death is a tragedy;
A million deaths is a statistic.
한명의 죽음은 비극이요. 백만명의 죽음은 통계이다.
Joseph Stalin

37. 37
Cyber Threat Intelligence Architecture
Feed Crawler C-TAS Alliance OSINT 3rd Party VirusTotal
92.240.XXX.72
92.240.253.72
sxxs.sk

38. 38
Cyber Threat Intelligence Architecture
92.240.xxx.72
soks.sk
92.240.xxx.72
soks.xxx
topkvalita.xxx
pixellaris.com
checkchess.net
3log.xxx
3log.xxx
Index.php
msg.jpg
msg.jpg
0f89319808de73cf915ad7e8cd9a8854c1a66f
8798476a2deab282006ca7068d
• Hash
• Domain
• IP
• Host
• Network
• Tools

39. 39
Cyber Threat Intelligence Architecture
Feed Crawler C-TAS Alliance OSINT 3rd Party VirusTotal
92.240.XXX.72
92.240.xxx.72
Malicious
92.240.xxx.72
Malicious
92.240.xxx.72
Malicious

40. 40
Threat Intelligence
Intelligence Cycle
Collection
Processing
Analysis &
Production
Dissenmination
& Feedback
Planning &
Direction

41. 41
Cyber Threat
Intelligence Algorithm
각자의 알고리즘으로..
• 평판기반
• 스코어링
• 클러스터링
• 무작정 맹신
• 발생 빈도수
• 잠재적 분류 등

42. 42
이 많은
데이터를 어떻게
검색하지?

43. 43
43

44. 44
Cyber Threat Intelligence Architecture
Expression & Indicator Stack
Feed Crawler C-TAS
Alliance OSINT
3rd Party VirusTotal

45. 45
Cyber Threat Intelligence Architecture
KibanaElasticsearchLogstash
Access
Logs
Solution
Event Logs
Netflow Syslog
Feed Crawler C-TAS
Alliance OSINT
3rd Party VirusTotal
. . .
Database
WebAPI
Sensor
Social
ETC

46. 46
Cyber Threat Intelligence Architecture
Beats
Log Files Metrics
Wire Data your(beat)
Datastore
Social
Web APIs
Sensors
Kafka
Redis
Messaging
Queue
Nodes (X)
Logstash
Elasticsearch
Kibana
X-pack
Custom UI
Authentication Notification
X-pack
LDAP AD SSO
Instances (X)
Master Nodes (3)
Ingest Nodes (X)
Data Nodes - Hot (X)
Data Nodes - Warm (X)
Feed
Crawler
C-TAS 3rd Party Alliance
3rd Party
C-TAS
Gov
Alliance
OSINT VT

47. 47
KISA 제공
KISA에서
제공하는
위협 빅데이터
(현 3.5억, 연내 6억)
악성코드 공유
제일많이 공유되는
악성정보
배포사이트의
악성샘플 숫자
하루수집평균
하루에 FEED로
수집되는 평균
데이터 수치
(100여개 이상 피드, 50~100만)
6억 3천만 100만
Source: KASPERSKY
활용 가능한 위협정보

48. 48
Cyber Threat Intelligence
Feed sample
Source: CIF

49. 49
Cyber Threat Intelligence
Indicator
(or) File MD5 checksum
(or) File name is ripsvc32.dll
(or) File path contails system32mtxes.dll
(or) file PE header compile time is 2008-04-04T18:14:25
(and) Registry key text contains ripsvc32.dll
(and) Registry path contains SYSTEMCurrentContainServices
(or) Service DLL is ripsvc32.dll
(or) Process has a handle named RipSvc32.dll
(or) File path contains system32msasn.dll
(or) File path contains system32msxml15.dl
(and) File size is between 500000 and 900000
(or) File name is SPBBCSvc.exe
(or) File name is hinv32.exe
(or) File name is vprosvc.exe
(or) File name is wuser32.exe
(and) Service name is IPRip
(and) Service DLL is not iprip.dll

50. 50
• KIBANA를 통한 시각화
• 빠른 의사 결정
• 의심가는 IP, URL, FILE등의 비교
• 위험도, 활동감시, 위협요소 추가정보 확인

51. 51
Cyber Threat
Intelligence Analytics
CTI의 활용 및 분석
• 방문요청 IP or 쿼리
• 해외발 인바운드 IP 조회
• 아웃바운드 IP - C&C IP 조회
• IP의 신뢰도
• 발생빈도/시간/
• 각종 징후 포착 등
• 그밖의 다양한 보안 시나리오

52. 52
Cyber Threat Intelligence Analytics
머신러닝 이상징후 발견
파일에 대한 해시값
인텔리전스 데이터 비교
보낸사람 IP, 이메일
주소 등의 인텔리전스
데이터 비교
컨텍스트 보안

53. 53
Cyber Threat Intelligence algorithm

54. 54

55. 55
If You See
Something,
Say Something

56. 56
함께합시다.